Redazione RHC : 12 Febbraio 2025 07:38
OpenSSL ha emesso un avviso di sicurezza invitando gli utenti ad effettuare immediatamente l’aggiornamento per mitigare il rischio critico di una vulnerabilità di sicurezza di elevata gravità. Si tratta del ( CVE-2024-12797 ) in OpenSSL, una delle librerie crittografiche più utilizzate. Il bug di sicurezza consente agli aggressori di sfruttare una falla negli handshake TLS e DTLS, consentendo potenzialmente attacchi man-in-the-middle (MITM) su connessioni vulnerabili.
La vulnerabilità riguarda le versioni 3.4, 3.3 e 3.2 di OpenSSL. Le versioni precedenti (3.1, 3.0, 1.1.1 e 1.0.2) e i moduli FIPS di OpenSSL non sono interessati.
Il problema risiede nella gestione delle chiavi pubbliche (RPK) RFC7250, un meccanismo opzionale nelle connessioni TLS/DTLS. Quando un client abilita l’uso di RPK per l’autenticazione di un server, potrebbe non riuscire a terminare l’handshake se la chiave pubblica del server non corrisponde ai valori previsti, nonostante sia impostata la modalità di verifica SSL_VERIFY_PEER. Questa omissione espone la connessione all’intercettazione da parte di un malintenzionato.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Gli RPK sono disabilitati per impostazione predefinita nelle implementazioni OpenSSL, ma se abilitati esplicitamente sia nella configurazione client che in quella server, potrebbe consentire agli aggressori di impersonare il server. Sfruttando questa falla, è possibile intercettare, leggere o modificare la comunicazione tra un client e un server.
OpenSSL ha rilasciato delle patch per risolvere il problema. Si consiglia agli utenti di aggiornare immediatamente le proprie librerie OpenSSL alle seguenti versioni:
Le correzioni sono state effettuate a una segnalazione di Apple Inc. di dicembre 2024. Gli amministratori di sistema e gli sviluppatori che utilizzano OpenSSL dovrebbero rivedere le loro implementazioni per determinare se gli RPK sono abilitati esplicitamente. In tal caso, l’aggiornamento alle versioni patchate è fondamentale per mitigare i potenziali rischi per la sicurezza.
Per coloro che non utilizzano attivamente gli RPK, la vulnerabilità non rappresenta una minaccia immediata, poiché gli RPK sono disabilitati di default. OpenSSL consiglia agli utenti di monitorare regolarmente la propria pagina di avviso di sicurezza per eventuali aggiornamenti aggiuntivi o dettagli tecnici.
RedazioneUna nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
